NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践：産業からの観察

こんにちは、丸山満彦です。

NISTがNISTIR 8276 Key Practices in Cyber Supply Chain Risk Management: Observations from Industryを公表していますね。。。日本語にすると、「サイバーサプライチェーンのリスク管理における鍵となる実践：産業からの観察」という感じですかね。。。

● NIST - ITL

・2021.02.11 PUBLICATIONS NISTIR 8276 Key Practices in Cyber Supply Chain Risk Management: Observations from Industry

・[PDF] NISTIR 8276

 

・Supplemental Material:

　・[web] Cyber SCRM Key Practices and Case Studies

 

重要な実践

1. Integrate C-SCRM Across the Organization	1. 組織全体でC-SCRMを統合する
2. Establish a Formal C-SCRM Program	2. 正式なC-SCRMプログラムを確立する
3. Know and Manage Critical Suppliers	3. 重大なサプライヤーを知り、管理する
4. Understand the Organization’s Supply Chain	4. 組織のサプライチェーンを理解する
5. Closely Collaborate with Key Suppliers	5. 鍵となるサプライヤーと緊密に連携する
6. Include Key Suppliers in Resilience and Improvement Activities	6. 回復と改善活動に鍵となるサプライヤーを含める
7. Assess and Monitor Throughout the Supplier Relationship	7. サプライヤーとの関係全体の評価と監視
8. Plan for the Full Life Cycle	8. ライフサイクル全体を計画する

主な推奨事項

Create explicit collaborative roles, structures, and processes for supply chain, cybersecurity, product security, and physical security (and other relevant) functions.	サプライチェーン、サイバーセキュリティ、製品セキュリティ、および物理的セキュリティ（およびその他の関連する）機能のための明示的な連携のための役割、構造、およびプロセスの作成
Integrate cybersecurity considerations into the system and product lifecycle.	サイバーセキュリティの考慮事項とシステムと製品のライフサイクルの統合
Determine supplier criticality by using industry standards and best practices.	業界標準とベストプラクティスを使用して、サプライヤーの重要度の決定
Mentor and coach suppliers to improve their cybersecurity practices.	サイバーセキュリティの実践を改善するためのサプライヤーの指導。
Include key suppliers in contingency planning, incident response, and disaster recovery planning and testing.	緊急時の計画、インシデント対応、災害復旧の計画とテストへの主要なサプライヤーの組み込み
Use third-party assessments, site visits, and formal certification to assess critical suppliers.	重要なサプライヤーを評価するための第三者評価、サイト訪問、および正式な認証

 

目次

Executive Summary	エグゼクティブサマリ
1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Background	1.2 背景
2 Problem Definition	2 問題定義
3 Key Practices for C-SCRM	3 C-SCRMのための主要な実践
3.1 Integrate C-SCRM Across the Organization	3.1 組織全体でのC-SCRMの統合
3.2 Establish a Formal C-SCRM Program	3.2 正式なC-SCRMプログラムの確立
3.3 Know and Manage Critical Components and Suppliers	3.3 重要部品とサプライヤーの把握と管理
3.4 Understand the Organization’s Supply Chain	3.4 組織のサプライチェーンを理解する
3.5 Closely Collaborate with Key Suppliers	3.5 鍵となるサプライヤーとの緊密な連携
3.6 Include Key Suppliers in Resilience and Improvement Activities	3.6 レジリエンスと改善活動に鍵となるサプライヤを含める
3.7 Assess and Monitor Throughout the Supplier Relationship	3.7 サプライヤーとの関係を通じた評価と監視
3.8 Plan for the Full Life Cycle	3.8 ライフサイクル全体の計画
4 Recommendations	4つの推奨事項
References	参考文献
List of Appendices	付録一覧
Appendix A - Recommendations Mapped to Key Practices	付録 A - 主要な実践にマッピングされた提言
Appendix B - Government and Industry Resources	付録 B - 政府と産業界のリソース
Appendix C - Recommendations to Key Government and Industry Resources	付録 C - 主要な政府と産業界のリソースへの提言

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。